C’è un enorme interesse dei legislatori europei circa la possibilità di estrarre valore economico dai dati (anche personali) attraverso la loro condivisione. La condivisione dei dati è infatti uno dei pilastri della strategia europea per i dati[1], sull’assunto che rendere disponibili più dati e facilitarne la condivisione tra settori diversi e in una scala sovranazionale è il passaggio chiave per sviluppare servizi innovativi a vantaggio dei cittadini e delle imprese europee.
Condivisione e protezione dei dati personali nella strategia europea
Nelle previsioni della Commissione Europea, che di questa strategia è l’artefice, l’effetto della condivisione sarà quantificabile nell’area dell’UE a 27 Stati in un valore economico di circa 830 miliardi di euro nel 2025[2]. Si tratta di un valore ragguardevole, interamente fondato sul trattamento di dati (personali e non), pari a circa la metà del PIL di un paese come l’Italia e con tassi di crescita a due cifre, ed esistono già importanti iniziative legislative volte a regolamentare la condivisione dei dati sia nel settore pubblico che in quello privato.
Ad esempio, il Data Governance Act, entrato in vigore il 23 giugno 2022 e pienamente applicabile da settembre 2023[3], introduce e promuove meccanismi per aumentare la disponibilità dei dati del settore pubblico e superare gli ostacoli tecnici al riutilizzo dei dati nell’interesse generale.
Gli intermediari dei dati
Questo obiettivo è reso possibile attraverso una serie di misure concrete che facilitano la condivisione dei dati, che vanno dalla creazione di nuove figure che svolgano il ruolo di “intermediari dei dati”, in grado di creare ambienti di elaborazione (o data room) in cui i dati siano accessibili in modo sicuro, allo sviluppo di nuovi accordi contrattuali tra il settore pubblico e il (ri)utilizzatore dei dati per garantire che la privacy e la riservatezza dei dati siano pienamente rispettate nelle situazioni di riutilizzo.
Le regole dell’EU Data Act
Allo stesso modo, nel settore privato, l’EU Data Act, presentato dalla Commissione UE il 23 febbraio 2022[4], stabilirà le regole per creare nuovo valore dai dati che sono nella disponibilità dei singoli interessati (consumatori o utenti di servizi) e delle imprese, chiarendo chi può accedere a tali dati e a quali condizioni.
L’EU Data Act renderà disponibili più dati per la condivisione tra imprese, cittadini e pubbliche amministrazioni attraverso misure innovative, quali la promozione di formati interoperabili per lo scambio di dati, la rimozione di eventuali squilibri contrattuali che ostacolano la condivisione dei dati, la definizione dei casi in cui gli enti pubblici possono trattare questi dati per il raggiungimento di finalità di interesse generale.
Data Act: cosa prevede la norma europea su accesso e riuso dei dati “smart”
Possono coesistere privacy e condivisione dei dati?
Proviamo a osservare la questione dal punto di vista della protezione dei dati. È di tutta evidenza che quando due o più soggetti decidono di condividere i propri dati (personali e non), ciò che li muove è la considerazione che così facendo essi si mettono nella condizione di scoprire, attraverso l’effettuazione di trattamenti o calcoli matematici, nuovi fenomeni relativi agli individui o alla società nel suo insieme. Si tratta di una constatazione tanto evidente quanto banale.
È assai meno evidente e banale provare a ragionare su come sia possibile garantire che questa creazione di nuovo “valore” non avvenga a spese della riservatezza dovuta ai dati personali, e neppure a discapito del valore economico che le informazioni commerciali rivestono e che le imprese assai gelosamente custodiscono. A prima vista “protezione dei dati” (personali e non) e “condivisione dei dati” (personali e non) sembrano essere concetti del tutto opposti e obiettivi in conflitto.
Per provare ad avvicinare questi due concetti, senza che si respingano come farebbero i due poli dello stesso segno di due calamite, occorre creare un quadro concettuale che faccia da sfondo a ogni valutazione di natura tecnica, giuridica o economica, e che parta proprio dalla nozione di “condivisione”.
Il nodo inestricabile delle garanzie
In una visione naïve, una condivisione si realizza quando due parti che detengono separatamente alcuni insiemi di dati si scambiano direttamente quei dati. Se questo accade, è pacifico constatare che in effetti esiste un conflitto molto profondo tra “protezione dei dati” e “condivisione dei dati”.
Nel caso più generale, infatti, le due parti coinvolte nella condivisione saranno entità separate che risponderanno a obiettivi economici possibilmente divergenti ed è molto difficile, in termini concreti e su un piano di effettività dei risultati, pensare di realizzare una forma di protezione dei dati.
Come possiamo garantire che, una volta condivisi i dati, la parte ricevente non li utilizzerà per uno scopo diverso, o che non ne conserverà una copia per il raggiungimento di un proprio scopo?
La protezione dei dati “comportamentale”
Per scongiurare questi rischi si può solo contare su una forma di protezione dei dati “comportamentale”, basata sul rispetto di obblighi di legge o contrattuali, certamente molto importante da auspicare, ma anche molto difficile (o almeno molto lenta) da far rispettare su larga scala, in un quadro di condivisione così diffusa come è lecito aspettarsi dopo l’entrata in vigore di questi nuovi strumenti normativi.
In uno scenario di condivisione naïve di dati, ogni caso sarebbe un caso particolare e richiederebbe misure tecniche e organizzative di tutela diversificate, con il risultato di rendere quantomeno problematico l’enforcement dei principi e l’esercizio di diritti, che invece dovrebbero essere integralmente preservati (come peraltro dichiarano esplicitamente di voler fare questi regolamenti, che non nascono per annullare le tutele privacy, ma con l’obiettivo di conciliarle con questa idea di sviluppo).
La strada maestra è la condivisione “protetta”
Bisogna dunque abbandonare, piuttosto velocemente, questa interpretazione naïve del concetto di condivisione dei dati e muoversi verso una rappresentazione un po’ più evoluta, in cui la condivisione sia mediata attraverso l’applicazione di strumenti tecnologici che rendono la condivisione “protetta”.
In questa mediazione si concretizza la protezione dei dati. Non necessariamente si deve pensare alla creazione di ambienti fisici dedicati o a server gestiti da “terze parti fidate”.
La mediazione è piuttosto realizzata attraverso un insieme di regole di trasformazione dei dati, concordate dalle parti e mutuamente verificabili, in modo tale che se una delle parti sfugge a queste regole o tenta di fare qualcos’altro con i dati, la condivisione non può aver luogo e il risultato di un trattamento o di un calcolo matematico non può essere ottenuto.
Il valore economico associato alla condivisione del dato non può, cioè, essere estratto, a svantaggio della collettività.
Queste regole rispondono a due rilevantissime esigenze di “protezione” dei dati: da una parte la necessità di garantire la massima confidenzialità reciproca dei dati condivisi tra le parti coinvolte nella condivisione (c.d. input privacy problem), dall’altra la necessità di limitare il rischio che dalla conoscenza dei risultati del trattamento, o del calcolo matematico, sia possibile risalire o, più correttamente, ricostruire i dati condivisi (c.d. output privacy problem).
Obiettivo difficile ma possibile
Solo se queste esigenze saranno soddisfatte “protezione dei dati” e “condivisione dei dati” non saranno concetti contraddittori. Si tratta di un obiettivo estremamente complesso, ma possibile da raggiungere, che richiederà l’applicazione, anche congiunta, di tecniche crittografiche e di “disclosure control” ampiamente studiate da decenni e che adesso dovranno essere concretamente impiegate.
Oggi le tecniche di data protection engineering sono sufficientemente mature per guardare alla “condivisione con tutele”, ossia alla piena applicazione dei principi della protezione dei dati in uno scenario di ampia condivisione e riuso degli stessi, come a un obiettivo possibile, e questa prospettiva è in cima alle agende di molte istituzioni europee coinvolte nella realizzazione della strategia Europea per i dati.
Sicurezza come abilitatore di “condivisione con tutele”
L’agenzia Europea per la cybersecurity (ENISA), ad esempio, ha promosso una intera giornata di studi e di approfondimenti su questi temi[5], dalla quale è emerso che la sicurezza non è più soltanto uno strumento di protezione “difensiva” dei dati, ma un abilitatore di “condivisioni con tutele”, e dunque lo strumento tecnologico d’elezione per l’estrazione del valore economico dai dati.
Anche in ambito UNECE, la Commissione economica per l’Europa delle Nazioni Unite, è attualmente in corso una consultazione pubblica[6] sull’impiego di tecniche di Secure Multiparty Computing che facilitino e incentivino la condivisione di dati tra differenti organizzazioni (anche nel caso in cui queste perseguano interessi economici divergenti!) in modo sicuro e con garanzia di confidenzialità reciproca in vista del raggiungimento di uno specifico obiettivo di interesse comune o collettivo. Tutti gli stakeholder possono partecipare alla consultazione, ed è bene che partecipino a questa raccolta di idee.
Sono movimenti molto interessanti e promettenti, che sarà il caso di guardare con attenzione nel prossimo futuro.
Garanti privacy UE, ecco le basi per una nuova “data economy” etica
La sfida che attende i Garanti della Privacy
Infine, e molto significativamente, anche le Autorità di protezione dei dati sono perfettamente consapevoli della sfida che le attende. Basti leggere la dichiarazione congiunta rilasciata a margine della riunione delle Autorità del G7 riunite a Bonn nel mese di settembre[7], dal titolo “Promoting Data Free Flow with Trust“. Un passaggio di questa dichiarazione, in particolare, ci testimonia il livello di attenzione su queste nuove opzioni tecnologiche:
“Privacy-enhancing technologies (PETs) – such as trusted research environments, federated learning, differential privacy, zero knowledge proofs, secure multiparty computation and homomorphic encryption – help organizations implement or improve data protection by design through processes which mask or transform personal data to reduce its identifiability. The use of PETs can facilitate safe, lawful and economically valuable data sharing that may otherwise not be possible, unlocking significant benefits to innovators, governments and the wider public. In recognition of these benefits we, as the G7 data protection and privacy authorities, will seek to promote the responsible and innovative use of PETs to facilitate data sharing, supported by appropriate technical and organizational measures.”
Come si legge, federated learning, differential privacy, zero knowledge proofs, secure multiparty computation e homomorphic encryption, che sono le tecniche crittografiche e di disclosure control candidate a realizzare questo cambio di paradigma dalla “condivisione naive di dati” verso una “condivisione di dati con tutele”, sono ritenute elementi necessari per l’estrazione di valore economico dai dati, che altrimenti non sarebbe possibile (that may otherwise not be possible).
C’è dunque un elevatissimo livello di attenzione tra i policy maker europei sul tema della condivisione dei dati e sull’efficacia delle misure di tutela. La via maestra appare l’applicazione di rigorose misure tecnologiche capaci di integrare la tutela direttamente nei trattamenti (nel pieno spirito del concetto di data protection by design del GDPR).
Ogni scorciatoia semplicistica, che provi a sfuggire dalla complessità di questa sfida e che non contempli la responsabilità di affrontarla compiutamente con gli strumenti più avanzati dell’ingegneria, ci allontanerà dalla soluzione del problema.
Note
- Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions, “A European strategy for data”, COM/2020/66 final, Brussels, 19.2.2020. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52020DC0066 ↑
- https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en ↑
- Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R0868 ↑
- Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data, Brussels, 23 February 2022, COM(2022) 68 final, https://ec.europa.eu/newsroom/dae/redirection/document/83521 ↑
- Personal Data Sharing – Emerging Technologies, ENISA, 7 October 2022, https://www.enisa.europa.eu/events/personal-data-sharing-workshop-2022/personal-data-sharing-emerging-technologies ↑
- Open technical consultation on Towards a trustworthy Multi-Party Secure Private Computing-as-a-service infrastructure for official statistics, United Nations Economic Commission for Europe (UNECE), https://statswiki.unece.org/display/IPP/Input+Privacy-Preservation+for+Official+Statistics+Home ↑
- Communiqué: Promoting Data Free Flow with Trust and knowledge sharing about the prospects for International Data Spaces, G7 Germany 2022, https://www.bfdi.bund.de/SharedDocs/Downloads/EN/G7/Communique-2022.pdf?__blob=publicationFile&v=1 ↑
